The invention discloses a multi node honeypot system and data analysis method, the multi node honeypot system comprises a plurality of single node honeypot system, the plurality of nodes interconnected to form a single honeypot system network topology structure; the method comprises the following steps: the raw data of each single node of the honeypot system; analysis of characteristics the selection of original data by using principal component to obtain the intermediate data; the intermediate data clustering and supervised learning, multiple clusters, where each cluster consists of multiple instances; in each of the clusters for malicious attacks command to extract association rules; association rules will be extracted as the feature storage to attack marked features of concentration.
【技术实现步骤摘要】
一种多节点蜜罐系统及其数据分析方法
本专利技术涉及工业控制系统安全
,尤其涉及一种面向工业控制系统安全的多节点蜜罐系统及其数据分析方法。
技术介绍
利用蜜罐模拟特定设备吸引攻击,进而分析攻击方式提取攻击签名和指纹是安全领域的普遍且成熟的解决方案。但在新兴的工业安全领域,仅有CONPOT、XPOT、DIGITALBONDSCADAHONEYNET等为数不多的蜜罐以单节点的方式基于特定的工业控制协议(如Modbus、SiemensS7Comm)模拟单个可编程逻辑控制(PLC,ProgrammableLogicController)设备。CONPOT作为当下主流的开源低交互工业控制蜜罐,通过内嵌Modbus、SiemensS7Comm等协议并开放特定的502、102端口等,实现在主机上模拟单个PLC设备。XPOT支持PLC程序编译和解释,支持专有S7通信协议和简单网络管理协议。同时为了对抗Nmap这样的操作系统(OS,OperatingSystem)指纹识别工具,XPOT模拟可参考的PLC网络协议堆栈实现高交互单节点蜜罐仿真功能。DIGITALBONDSCADAHONEYNET则因为仿真的协议过于陈旧,无人维护,且为低交互蜜罐无法欺骗及吸引攻击者攻击。当下的所有解决方案都着眼于提高单节点的蜜罐仿真能力,对于实际工业系统而言,几乎不存在单一独立的PLC设备。尤其是在工业4.0到来之后,大量的设备联网,形成工业控制设备网暴露在互联网上。单个模拟工控设备的蜜罐即使仿真程度再高,也不可能吸引攻击者的扫描和读写操作。此外,蜜罐的最终目的是为了提取出关键的扫描及攻击签 ...
【技术保护点】
一种多节点蜜罐系统的数据分析方法,其特征在于,所述多节点蜜罐系统包括多个单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构;所述方法包括:获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。
【技术特征摘要】
1.一种多节点蜜罐系统的数据分析方法,其特征在于,所述多节点蜜罐系统包括多个单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构;所述方法包括:获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。2.根据权利要求1所述的多节点蜜罐系统的数据分析方法,其特征在于,所述获取各个单节点蜜罐系统的原始数据,包括:获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;通过所有的实例组成所述原始数据。3.根据权利要求1所述的多节点蜜罐系统的数据分析方法,其特征在于,所述对所述中间数据进行聚类分析,得到多个簇,包括:依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为多个簇。4.根据权利要求1或3所述的多节点蜜罐系统的数据分析方法,其特征在于,所述对所述中间数据进行监督学习,得到多个簇,包括:根据威胁情报信息确定出攻击特征;对所述攻击特征进行标注,生成特征标注集;根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。5.根据权利要求1至4任一项所述的多节点蜜罐系统的数据分析方法,其特征在于,同一个簇内的每个...
【专利技术属性】
技术研发人员:李建欣,符式定,陈汉腾,李想,李博,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。